web應用程序安全手冊

web應用程序安全手冊

ID:9223039

大?。?43.01 KB

頁數(shù):34頁

時間:2018-04-23

web應用程序安全手冊_第1頁
web應用程序安全手冊_第2頁
web應用程序安全手冊_第3頁
web應用程序安全手冊_第4頁
web應用程序安全手冊_第5頁
資源描述:

《web應用程序安全手冊》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

1、Web應用程序安全手冊Web應用程序安全指南由于網(wǎng)絡技術(shù)日趨成熟,黑客們也將注意力從以往對網(wǎng)絡服務器的攻擊逐步轉(zhuǎn)移到了對Web應用的攻擊上。根據(jù)Gartner的最新調(diào)查,信息安全攻擊有75%都是發(fā)生在Web應用而非網(wǎng)絡層面上。同時,數(shù)據(jù)也顯示,三分之二的Web站點都相當脆弱,易受攻擊。然而現(xiàn)實確是,絕大多數(shù)企業(yè)將大量的投資花費在網(wǎng)絡和服務器的安全上,沒有從真正意義上保證Web應用本身的安全,給黑客以可乘之機。本技術(shù)手冊為你全面解析Web應用程序安全問題,提供保證Web應用程序安全的方法和技巧。Web應用程序安全問題概述相信大家都或多或少的聽過關(guān)于各種Web應用安全漏洞,

2、諸如:跨站點腳本攻擊(XSS),SQL注入,上傳漏洞等等。在這里我并不否認各種命名與歸類方式,也不評價其命名的合理性與否,我想告訴大家的是,形形色色的安全漏洞中,其實所蘊含安全問題本質(zhì)往往只有幾個。本部為你解讀Web應用程序安全性問題的本質(zhì)。?解讀Web應用程序安全性問題的本質(zhì)如何保證Web應用程序安全TT安全技術(shù)專題之“Web應用程序安全手冊”第2頁共34Web應用程序是當今多數(shù)企業(yè)應用的前沿陣地。Web應用程序在一個復雜的混合性架構(gòu)中可以發(fā)揮多種不同的功能。管理與這些復雜的Web應用程序相關(guān)的風險是公司的必然要求,而且運行這些Web應用程序的底層代碼的安全性直接影響

3、到公司應用程序可用數(shù)據(jù)的風險態(tài)勢。本部分將為你介紹保證Web應用程序安全的方法和技巧。?使用BurpProxy對Web應用程序進行調(diào)試和測試?Web應用程序構(gòu)建后的一些必備安全措施?如何保證Web應用程序安全性?保護Web應用程序不受直接對象引用(DOR)?Web應用安全保護技巧小心你的WEB應用程序成為數(shù)據(jù)竊賊的幫兇當心,你以為固若金湯的數(shù)據(jù)庫可能已遭到了入侵。你需要重新思考一下自己公司的網(wǎng)站是否真得不會遭到SQL注入攻擊。SQL注入是最流行也是最危險的Web應用程序漏洞利用技術(shù),它可以攻擊存儲著珍貴企業(yè)信息的后端數(shù)據(jù)庫,且“簡約高效”。本部分將闡述攻擊者如何通過這種

4、方法來利用Web應用程序的漏洞以及如何抵御這種攻擊。?小心你的WEB應用程序成為數(shù)據(jù)竊賊的幫兇(一)?小心你的WEB應用程序成為數(shù)據(jù)竊賊的幫兇(二)?小心你的WEB應用程序成為數(shù)據(jù)竊賊的幫兇(三)?小心你的WEB應用程序成為數(shù)據(jù)竊賊的幫兇(四)TT安全技術(shù)專題之“Web應用程序安全手冊”第3頁共34解讀Web應用程序安全性問題的本質(zhì)相信大家都或多或少的聽過關(guān)于各種Web應用安全漏洞,諸如:跨site腳本攻擊(XSS),SQL注入,上傳漏洞......形形色色.。在這里我并不否認各種命名與歸類方式,也不評價其命名的合理性與否,我想告訴大家的是,形形色色的安全漏洞中,其實所

5、蘊含安全問題本質(zhì)往往只有幾個。我個人把Web應用程序安全性本質(zhì)問題歸結(jié)以下三個部分:1、輸入/輸出驗證(Input/outputvalidation)2、角色驗證或認證(Roleauthentication)3、所有權(quán)驗證(Ownershipauthentication)說到這,讀者一定想知道我這三種分類與形形色色的安全性問題有什么關(guān)系?下面我逐個給您概略解答:輸入/輸出驗證這里的輸入與輸出其實都是發(fā)生在用戶界面(UserInterface)這一個層面上的,比如:你某一站點上提交一份注冊信息,往往會收到諸多提示:“用戶名非法”,“姓名不能使用英文“......其實這就是

6、輸入驗證的一個實例。什么情況是輸出呢?比如說你成功提交一份注冊信息后,系統(tǒng)會返回一個確認頁(RegisterredConfirmation),往往在這個頁面上會顯示你注冊時提交的部分或全部信息,那么在這里顯示的信息就是我所說的輸出實例之一,輸入需要做什么驗證?假如你在提交時,在Address那一欄輸入:,當你到達注冊的確認頁時,會有什么發(fā)生?如果確認頁沒有做輸出驗證處理,那很顯然會在到達確認頁的時候出現(xiàn)一個Javascript打出的提示框。其實這就是跨site腳本攻擊的一個小小的實例。當然了,

7、單純的輸入/輸出驗證涉及的面可能夠?qū)懸恍”緯耍υ诤罄m(xù)文章中給大家詳解。角色驗證或認證我們就拿CSDN來說吧,用戶有這些角色:其一可以說是游客,就是瀏覽者沒有登錄時的角色;其二是免費的注冊用戶;或許將來CSDN深入發(fā)展了,業(yè)務有所更新,還會出現(xiàn)收費的注冊用戶。以上只是用戶角色,那在CSDN公司內(nèi)部還會有管理員角色,還有可能管理員又可以根據(jù)板塊分為各種不同的角色。大家看到了吧,你天天訪問的CSDN一共可能有多少角色?TT安全技術(shù)專題之“Web應用程序安全手冊”第4頁共34接下來的問題就是權(quán)限問題了,為什么會有角色?就是為了控制權(quán)限的。每

當前文檔最多預覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當前文檔最多預覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學公式或PPT動畫的文件,查看預覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負責整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內(nèi)容,確認文檔內(nèi)容符合您的需求后進行下載,若出現(xiàn)內(nèi)容與標題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。